【導(dǎo)讀】更多協(xié)同辦公OA系統(tǒng)資料請訪問：。協(xié)同辦公系統(tǒng)安全解決方案

　　

【正文】 限制特定地址訪問特定服務(wù)的更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 功能，例如根據(jù)網(wǎng)絡(luò)安全策略，可能只能允許某個 IP 地址使用 TELNET 服務(wù)，另一個子網(wǎng)用戶可以使用 FTP 服務(wù)。 最小授權(quán) 原則雖然只是一個思想原則，但是通過具體實現(xiàn)可以以最小的代價迅速地大大加強網(wǎng)絡(luò)安全水平。所以將其 獨立列為網(wǎng)絡(luò)安全的一個重要元素。 依據(jù) CA的授權(quán)機制 操作系統(tǒng)的授權(quán)機制 系統(tǒng)的授權(quán)保證 4 網(wǎng)絡(luò)安全的實現(xiàn) 沒有絕對的網(wǎng)絡(luò)安全。不同屬性的網(wǎng)絡(luò)具有不同的安全需求。國家安全、軍事等網(wǎng)絡(luò)對于前面所述的三種威脅都適用，需要調(diào)動整個國家的技術(shù)力量來研究專門的網(wǎng)絡(luò)安全技術(shù)。對于 ISP 網(wǎng)絡(luò)和企業(yè)網(wǎng)，對于上面論述的網(wǎng)絡(luò)安全幾個重要元素，受投資規(guī)模的限制，不可能全部最高強度的實施，但是正確的做法是分析網(wǎng)絡(luò)中最為脆弱的部分而著重解決，將有限的資金用在最為關(guān)鍵的地方。這有賴于網(wǎng)絡(luò)安全策略分析的充分投入。本文認為實現(xiàn)整體網(wǎng)絡(luò)安 全包括三個要素：完備適當?shù)木W(wǎng)絡(luò)安全策略、高水平的網(wǎng)絡(luò)安全技術(shù)隊伍、嚴格的管理落實。 完備適當?shù)木W(wǎng)絡(luò)安全策略 對于網(wǎng)絡(luò)的建設(shè)者和運行者來說，實現(xiàn)安全的第一要務(wù)是明確本網(wǎng)的業(yè)務(wù)定位、提供的服務(wù)類型和提供服務(wù)的對象。這些數(shù)據(jù)直接影響到安全策略的制定和實施過程。對于較大規(guī)模的企業(yè)網(wǎng)和 ISP 網(wǎng)絡(luò)，運行者應(yīng)該有自己的網(wǎng)絡(luò)安全技術(shù)專家，它們直接參與工程的設(shè)計、談判、運行 ,擁有對整體網(wǎng)絡(luò)拓撲和服務(wù)非常透徹的了解。這樣可以保證網(wǎng)絡(luò)安全策略自始至終的連續(xù)性。 網(wǎng)絡(luò)安全的技術(shù)研究國內(nèi)起步較晚，雖然目前許多網(wǎng)絡(luò)專家開始注意并研究相 關(guān)的技術(shù)，但是總體來說網(wǎng)絡(luò)安全技術(shù)的專門人才還比較缺乏。因此多數(shù)網(wǎng)絡(luò)的建設(shè)者和運行者并不擁有相應(yīng)的技術(shù)力量。這時，購買市場上的網(wǎng)絡(luò)安全服務(wù)是比較明智的策略。例如，網(wǎng)絡(luò)安全風險評估、網(wǎng)絡(luò)設(shè)計安全評估、網(wǎng)絡(luò)安全維護等服務(wù)。其中第一項在發(fā)達國家已經(jīng)非常普遍。許多大的網(wǎng)絡(luò)公司也雇傭?qū)ｉT的安全評估小組對其網(wǎng)絡(luò)進行模擬攻擊，以求避免類似 不識廬山真面目，只緣身在更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 此山中 的效果。多方位、多角度地考察網(wǎng)絡(luò)安全漏洞和弱點是提高網(wǎng)絡(luò)安全水平的重要保證。 l、 機房設(shè)備和數(shù)據(jù)的物理安全及其保障 這一項與傳統(tǒng)電信網(wǎng)類似。 網(wǎng)絡(luò)安 全管理職能的分割與責任分擔 責任明確化、具體化永遠是有力的實施手段。如果運維人力資源允許，將網(wǎng)絡(luò)的安全維護、系統(tǒng)和數(shù)據(jù)備份、軟件配置和升級等責任具體到網(wǎng)管人員，實行包機制度和機歷本制度等，保證責任人之間的備份和替換關(guān)系。一般來說，不可能網(wǎng)管安全責任人全部具有非常高的安全技術(shù)水平，同時出于人力資源的考慮，設(shè)立網(wǎng)絡(luò)安全技術(shù)支援小組，將技術(shù)的跟蹤研究與措施的具體實施分割開來是一種較為經(jīng)濟的考慮。 不同于電信網(wǎng)應(yīng)用軟件管理的特點， Inter 網(wǎng)的軟件升級是非常頻繁和細碎的事情。軟件升級的目的除了提供新得功能以外 ，就是彌補過去的安全漏洞。所以往往需要網(wǎng)管人員經(jīng)常及時地更新和升級軟件。這應(yīng)該列為網(wǎng)管人員的重要責任之一。 用戶的權(quán)利分級和責任 各種用戶應(yīng)該享受的服務(wù)種類；用戶在享受服務(wù)的同時，應(yīng)該承當?shù)牧x務(wù)范圍；對發(fā)現(xiàn)有惡意使用網(wǎng)絡(luò)、利用網(wǎng)絡(luò)騷擾攻擊其它網(wǎng)絡(luò)或用戶的使用者應(yīng)該采取的處理辦法。 攻擊和入侵應(yīng)急處理流程和災(zāi)難恢復(fù)計劃 發(fā)現(xiàn)黑客入侵后的處理流程，該問題與安全運行級別和安全故障等級的劃分直接相關(guān)。流程應(yīng)該保證發(fā)現(xiàn)入侵后不使入侵造成的損失擴大，不會造成運行的混亂，及時得到安全技術(shù)人員的支持，某種等級的安全 故障必須向上級主管部門匯報等等。 口令安全管理 包括口令的選取、保存、更改周期、定期檢查、保密等內(nèi)容。 網(wǎng)絡(luò)安全策略就是企業(yè)安全工作的法律，任何用戶和管理員都必須遵守。發(fā)現(xiàn)問題要立即糾正。安全工作要作到有法可依、有法必依、違法必糾。 高水平的網(wǎng)絡(luò)安全技術(shù)隊伍 安全技術(shù)力量的形成首先必須是專業(yè)化。抽調(diào)專門的技術(shù)人員專門從事企業(yè)的網(wǎng)絡(luò)安全建設(shè)和管理?？梢韵葟妮^小的核心開始，通過各種渠道呼吁、宣傳、教育，提高各級領(lǐng)導(dǎo)對網(wǎng)絡(luò)安全問題的重視程度，向大家演示黑客攻擊的現(xiàn)實威更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 脅是一種有效的辦法。使領(lǐng)導(dǎo)層、管理層和技術(shù) 人員大家形成一個共識：網(wǎng)絡(luò)安全工作非常重要，投資是必要的。 其次，逐步加強安全工作核心小組的實力。根據(jù)企業(yè)使用的技術(shù)種類和以后的發(fā)展方向，形成一定的內(nèi)部研究分工，比如 UNIX、 NT、路由、數(shù)據(jù)庫和其它應(yīng)用、國際相關(guān)討論組、以及上述的各種網(wǎng)絡(luò)安全元素等。在技術(shù)上保證不落后國際領(lǐng)先水平很遠，以電話、電子郵件或者 BBS 的方式為全網(wǎng)提供普遍的技術(shù)咨詢和技術(shù)支持，對本網(wǎng)和客戶技術(shù)人員提供培訓(xùn)服務(wù)，在建設(shè)和維護上為領(lǐng)導(dǎo)決策提供網(wǎng)絡(luò)安全方面的參考。 再次，繼續(xù)充實安全技術(shù)隊伍，形成自己的安全技術(shù)特長，承擔國家重大網(wǎng)絡(luò)安全 研究應(yīng)用任務(wù)。 建立專業(yè)的 CA 中心 運作一個 CA 系統(tǒng)的關(guān)鍵 由于網(wǎng)上交易是實時在線的，對于建立并運營 CA 系統(tǒng)的企業(yè)，必須滿足用戶對高可靠、高安全服務(wù)的要求。從用戶的角度看，一個成功的 CA 意味著較容易地獲得數(shù)字證書，能夠在訪問控制、信息加密、安全交易等商業(yè)應(yīng)用中方便地使用這些數(shù)字證書。從企業(yè)的角度來看，運營 PKI 意味著為用戶提供一個可信的在線服務(wù)。 我們可以建立我們專業(yè)的 CA 中心 管理、管理、管理 即使是一個完美的安全策略，如果得不到很好的實施，也是空紙一張。一般來說，安全與方便通常是互相矛盾的。 據(jù)反映，有些網(wǎng)絡(luò)安全專家雖然知道自己網(wǎng)絡(luò)中存在的安全漏洞以及可能招致的攻擊，但是出于管理協(xié)調(diào)方面的問題，卻無法去更正。因為是大家一起在管理使用一個網(wǎng)絡(luò)，包括用戶數(shù)據(jù)更新管理、路由政策管理、數(shù)據(jù)流量統(tǒng)計管理、新服務(wù)開發(fā)管理、域名和地址管理等等。網(wǎng)絡(luò)安全管理只是其中的一部分，并且在服務(wù)層次上，處于對其它管理提供服務(wù)的地位上。這樣，在與其它管理服務(wù)存在沖突的時候，網(wǎng)絡(luò)安全往往需要作出讓步。 流于形式是安全管理失敗的主要原因。筆者作為安全管理員期間，在多個公共服務(wù)器用戶的目錄中都曾經(jīng)發(fā)現(xiàn)管理單位發(fā)給用戶的警告文件， 內(nèi)容大致是不要使用簡單單詞作為自己的口令，尤其不要使用用戶名做口令以及其它注意事項。但是，這樣的警告是否起作用了呢？事實上，相當部分用戶從來沒有登錄過，當然也就根本沒有看到過該警告。在相當部分公共服務(wù)主機上，使用脆弱口令的用戶更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 往往超過 10%，有些站點甚至超過 30%。這通常關(guān)系到各地數(shù)據(jù)業(yè)務(wù)部門為用戶初始化口令時的安全政策，有的初始化成了用戶名，有的初始化成了統(tǒng)一口令（如123456），同時沒有保證用戶及時修改的措施。于是，上面的警告和口令安全策略也就流于形式，根本沒有起到加強網(wǎng)絡(luò)安全的作用。 管理落實是實現(xiàn) 網(wǎng)絡(luò)安全的關(guān)鍵。 5 我們公司的安全策略 客戶可能面臨的網(wǎng)絡(luò)安全隱患 客戶在使用我們的軟件的時候，可能會遇到一些安全隱患，譬如： 客戶的密碼可能丟失，密碼被別人修改，造成客戶不能進入我們的系統(tǒng)，并且客戶的個人資料可能被別人竊取，這樣就給單位和個人造成了很大的不不必要損失。 公司對客戶安全使用的控制級別 我們公司對客戶有一定的控制，以驗證客戶的權(quán)限。客戶的上傳和下載要有驗證的權(quán)限，這個權(quán)限是只有我們的 ID 用戶才有。我們要在我們公司的網(wǎng)站上核實客戶的 ID 權(quán)限。 我們公司目前可以為客戶解決的安全問題 （ 1） 我們對每一個客 戶都有用戶 ID 的驗證，只有通過我們驗證的用戶才可以登陸我們的系統(tǒng)。沒有通過驗證的人員是無法進入我們的系統(tǒng)的。 （ 2） 我們公司在 CA 認證方面已經(jīng)達到了 128 位加密。 （ 3） 在公司的內(nèi)部我們采用了 IP 和用戶名之間的綁定。 （ 4） 在公司的外網(wǎng)，我們采用了一定區(qū)域內(nèi)的 IP 和用戶名之間的綁定，我們還對加密狗進行加密，這樣就更加保障了我們公司的網(wǎng)絡(luò)安全。 （ 5） 我們公司在對付一些人員和網(wǎng)絡(luò)黑客對我們公司員工密碼的攻擊和猜測上作到了反攻擊和反猜測，我們還把輸入密碼錯誤后的滯留時間控制為 1秒鐘，這樣一來不管對方的計算機再快，也無發(fā)在短時間內(nèi)攻擊我 們的軟件。 （ 6） 如果您認為這樣還不夠安全我們還可以給公司的領(lǐng)導(dǎo)配一個個人使用的加密狗。用戶必須要有我們公司提供的與您的用戶名和密碼匹配的加密狗更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 才可以遠程登陸。這樣實現(xiàn)后，就算用戶的密碼被盜，但沒有加密狗，也沒有辦法登陸到服務(wù)器上。如果加密狗也同時被盜，只要用戶及時的把加密狗掛失，我們就會取消該加密狗的所有權(quán)限，該用戶的登陸名和密碼也會及時作廢。這樣就沒有人可以登陸您的帳號，使您個人和公司的信息資料都得到了保障。